5款免费杀软“紫狐”木马查杀测试

idayong

昨天看到360推送的紫狐木马http://www.360.cn/n/10386.html 里面提供了样本，这次正好来测一下“带毒环境”各家主流杀软的查杀能力（此前评测大都为引擎检出率的测试）

主要选出5款大家常用的杀软进行测试：（均升级到2018/09/21病毒库，使用“快速扫描”模式进行查杀测试）

• 系统环境：Windows7 x64 SP1（MSDN）
  

本想在虚拟机中进行测试，但木马检测虚拟机环境，最终使用HP 笔记本进行测试

Ø  360安全卫士11.6（11.6.0.1001l）

Ø  腾讯电脑管家13（13.0.19773.211）

Ø  火绒安全软件4.0（4.0.71.11）

Ø  金山毒霸11（11.2018.3.8.092000.1335）

Ø  卡巴斯基免费版（18.0.0.405(f)）

原贴中的木马行为分析图：

中毒现象：

中毒后木马会注入System、挂钩FSD和创建CteateThread回调，总体看伪装的比较好（原贴提到会推广安装“快图软件”，但本次测试过程没有出现推广行为，可能木马有潜伏期或是云控推广）

一、         360安全卫士

1.    “木马查杀”检出Rootkit.Win32.HPLocker.87木马，从病毒名看是Rootkit类木马

2.    点击“一键处理”后会自动使用“强力模式”查杀，期间会重启2次，在第二次重启后清除了2个木马文件

二、         腾讯电脑管家

“闪电杀毒”未检出感染紫狐木马

三、         火绒安全软件

“病毒查杀”未检出感染紫狐木马

四、         金山毒霸

“闪电查杀”未检出存在木马

五、         卡巴斯基 免费版

1.    可以直接检测到内存中活跃木马，并引导重启删除

2.    重启1次后自动使用“高级清除”方式成功删除2个木马文件

总结：

因为是360发布的报告，支持查杀符合预期，但360查杀过程繁琐，需要重启2次才能清除木马；

卡巴斯基依旧强大，重启1次完美查杀；

火绒、腾讯电脑管家、金山毒霸等3款杀软未检出该木马。

静影沉璧

不用虚拟机勇气可嘉卡巴的修复能力依然不错

利刀1937

你测试360，该用360杀毒，

pal家族

给楼主提个建议，升级到最新之后，重启下系统最好。。。。
卡巴的补丁版本都是半年前得了

www-tekeze

没找到样本。。

歌德塔大蜘蛛

www-tekeze 发表于 2018-9-21 23:57
没找到样本。。

“紫狐木马”样本 https://bbs.kafan.cn/thread-2132811-1-1.html

www-tekeze

歌德塔大蜘蛛 发表于 2018-9-22 09:27
“紫狐木马”样本 https://bbs.kafan.cn/thread-2132811-1-1.html

收到，我去试试。。

hover11

楼主真是用心了，以后要多多写这样的评测出来

神算子

用360杀毒更合适些，360安全卫士不知道开的什么引擎，看来360和卡巴更加敏锐

winqq

火绒5个全杀了，也没重启呀！！